保护您的公司机构
现在的日常生活中,任何人都可藉流行的工具与技术,如流动电话、电子邮件、即时通讯服务、可携式的储存器,以及经无线网络接达互联网的能力,轻易地携带及处理大量数据。随着携带数据的便利,要把关键的机构资料储存到个人设备中,或利用公共讯息服务处理,有很多其它不当的方式使资料泄漏到公众的领域。
数据的保护曾经依赖实体性的防御或完全隔离原始数据的策略,也就是限制接达在大型主机系统、磁带或磁碟上储存的数据位元与字节。时至今日,这种策略已不足够应付保护数据的要求,因限制接达这种静态的防御方法并不适合使用于现代的商业实务上。因为公用客户端(电脑及流动装置)能使用相容的介面标准与公司的服务沟通,所以只要有渠道和机会的存在,任何人都可接达与转译从任何来源的数据。
以下是一些保护你的公司资料的贴士:
意识与责任:透过教育与定期的提示使内部工作人员充分意识他们的共同责任,是相当重要的。故资讯保安的重要性是不容忘却与忽视的。每个雇员都必需要充分意识自己的责任、他们在资讯接达的限制、及任何可能造成保安事故的纪律处分。
定时评估与政策:在做任何改变之前,评估建设在公司内各处的资讯系统以及确认其必须改善的地方,是一个很好的概念。建立一个保安政策去管理随之而来的指引与程序的发展是必须的。定期执行持续的评估也是很重要的,这使既有的程序能因应工作条件与新的技术作出更新与改善。
数据的分类:并非所有的数据都属于相同等级的重要性或敏感性。为了善用资源,应该以公司数据的保安等级来作优先次序,把保安上所用的资源先集中在最重要的数据上。
接达的限制:软件以及机密数据的接达应该是仅能给予经过授权的员工。用密码或权标这类型的认证方式在接达的保护上是属于较常见的技术,且可根据使用者的角色,把不同的授权配置档应用于不同使用者上。审计追踪是认证的另一个补充办法,且全面的活动记录也能够提供有用的资讯去改善保安措施的效率。数据加密对未经授权的数据接达提供了另一层次的保护。
流动装置的保护:流动资讯处理装置与储存在其中的数据,不论是遭盗窃或者是在没有人看管的情况下,都会很容易被遗失。实体的防护方法,如用防盗安全锁,就是最常见的第一道防线。还有额外的授权要求如密码也可以防卫未经授权的接达。使用者应自行判断在这些装置上储存保密资料的风险以及必要性,且不管如何都要定期进行数据备份。
网络的防护:防止从互联网的入侵或攻击是一个很大的课题。如防火墙以及代理伺服器这些产品都已经可提供某一程度的数据与系统保护。但每家公司的数据系统所具不同的架构通常都必须受到评估,并设计出针对该公司营运所需的保护措施。应定期扫描硬碟与可携式的储存器,以及即时更新修补程式、病毒识别码特征档(virus signature pattern files)和恶意程式码定义。
公用渠道的保安措施:公用通讯的渠道,如即时通讯(IM)、无线网络的接达以及公共网上电子邮件服务等,都有可能带有公司的资讯。在办公环境中使用这些公用渠道的控制措施有时候是必要的:
发展一套清晰的通讯使用政策,且发布这些讯息给所有员工知道;
考虑推行一个相当于企业的统一解决方案而非使用公用通讯服务;
在适当的地方实施保安保护系统;
将一些不安全的服务停止,如远端启动的录影机。
电脑配备的弃置:当丢弃已旧的电脑配备或内存非挥发性数据的储存媒体,便需要一个适当的程序去保证所有的资讯和数据都已经被刪除,如对储存媒体作实体破坏、覆写资料,或是重新格式化。
数据的保护:在某些状况下,防止员工携带个人物品,包括流动电话在内,进入工作范围也许是值得建议的。这有助于排除一些数据被窃取的机会。重要的或敏感的数据可储存于虚拟机器内已加密的资料夹,这样操作上的数据便可自动地被加密。
自我评估资讯及通讯科技系统的资料保安 : 使用香港个人资料私隐专员公署提供的 数据安全快测 ,就资讯及通讯科技系统的资料保安措施进行快捷方便的自我评估。
